SPS AMPER 2019 Schunk EuroBlech Murrelektronik

GDPR pro průmyslové podniky

Když se objeví zkratka GDPR, firmám se vybaví, díky velké medializaci, především strašák vysokých pokut. Současně může některý management tvrdit, že jde o další zbytečný „výmysl“ EU. Nejde však o zbytečnost, ale o ochranu fyzických osob, které dané společnosti zapůjčily svoje osobní údaje, a to za nějakým účelem a na předem definovanou dobu.

 

Hlavním záměrem zavedení nových pravidel zacházení s osobními údaji je dát lidem větší kontrolu nad tím, co se s jejich osobními daty děje. A netýká se to zdaleka jen marketingových aktivit a dalších operací charakteristických shromažďováním různých informací.

Specifika průmyslu z pohledu GDPR
Většina obráběcích strojů je číslicově řízená - zpravidla takovým způsobem, že systém dostane výkres ve formátu AutoCADu a převede ho do příkazů CNC stroje - existuje tedy propojení mezi počítačovou sítí podniku a jednotlivými výrobními stroji (zde lze spatřit možnost pro hackery - tato komunikace s CNC stroji nebývá ve velké většině šifrovaná, jejich monitorováním lze zjistit parametry výroby, odvodit výrobní principy atd.). Vzhledem ke konkurenci si průmyslové podniky musí chránit i databázi zákazníků a subdodavatelů včetně cenových nastavení - pokud budu chtít poslat podnik do ztráty, mohu s určitou znalostí stavu přeplatit např. strategického dodavatele tak, aby dodávku potřebného dílu opozdil či nedodal vůbec.

Část firem se možná bude snažit povinnosti vyplývající z GDPR zjednodušit tvrzením, že mezi jejich zákazníky patří pouze právnické osoby. Nicméně i výrobní a průmyslové společnosti budou muset povinnosti vyplývající z nařízení GDPR splnit. Osobní údaje jsou mj. i kontaktní údaje právnických osob v roli dodavatelů nebo odběratelů, neboť i za právnickou osobou stojí osoba fyzická, s níž bude společnost jednat. Musíme si však uvědomit, že osobní údaje o konkrétních fyzických osobách tyto podniky zpracovávají také - jde o osobní údaje vlastních zaměstnanců. Podobné to je s B2B systémy. Tyto většinou fungují na principu elektronické výměny dat. Těmi mohou být základní informace, např. objednávky, faktury. Mnohdy tyto systémy fungují v cloudovém prostředí, kdy za provoz takového systému odpovídá jiná společnost. I zde najdeme osobní údaje (přihlašovací údaje, informace o účtu), ve velké většině těchto systémů je přihlašovacím údajem e-mailová adresa.

Ochrana dat uchazečů o zaměstnání a sezónních pracovníků
Problém s ukládáním osobních dat sezónních zaměstnanců je podobný jako s uchováváním životopisů uchazečů o práci za účelem dalšího možného oslovování. Pokud si budeme životopisy či kontaktní údaje sezónních zaměstnanců a potenciálních uchazečů o zaměstnání uchovávat za účelem jejich oslovení při novém náboru, jde z pohledu GDPR o sběr osobních údajů, kdy příslušná fyzická osoba musí dát souhlas se zpracováním poskytnutých dat, a to na celou dobu, po kterou budeme tato data uchovávat a zpracovávat. V souhlasu musí být uvedeno, za jakým konkrétním účelem je poskytován a na jakou dobu. Pokud daná fyzická osoba souhlas odvolá, musí existovat proces, který zabezpečí dokonalý výmaz těchto osobních údajů, nebo jejich naprostou anonymizaci. Současná úprava souhlasu se zpracováním osobních údajů tak z pohledu GDPR není dostačující.

Jak naložit s odbory?
V mnoha průmyslových podnicích působí i odborové organizace. Problém odborových organizací vidím v tom, že současně platný zákon č. 101/2000 Sb., o ochraně osobních údajů, v § 4 definuje citlivý osobní údaj jako „osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích,...“ Tyto citlivé (dle GDPR zvláštní) osobní údaje mají vyšší nároky na bezpečnost a nakládání s těmito údaji. Při zpracování těchto údajů je nutný výslovný souhlas dotčené fyzické osoby a musí se provádět další specifická opatření k jejich ochraně.

Jakým způsobem postupovat při implementaci GDPR?
V rámci implementace požadavků GDPR se osvědčily především následující kroky:

1.    Inventura dat
Jde o řízené rozhovory (workshopy) s jednotlivými odděleními, kdy se snažíme (převážně metodou brainstormingu) odpovědět na následující otázky:
-    Jaká data zpracováváte?
-    Kde jsou uložena?
-    K čemu jsou využívána?
-    Na jakém základě tyto informace sbíráte (zákonné důvody, souhlas fyzické osoby, …)?

2.    Procesní inventura
-    Jaká existují pravidla pro jejich zpracovávání?
-    Kdo k těmto informacím má přístup a v jakém rozsahu?

3.    Businessová analýza
Jaké jsou důvody sběru a zpracování těchto údajů:
-    Definování vlastníka procesu (účelu sběru zpracování).
-    Jaké má toto zpracování přínosy pro společnost?
-    Jaká existují rizika při zpracování těchto údajů (ztráta dostupnosti, integrity, důvěrnosti)?

4.    Nové procesy a postupy vyžadované GDPR
-    Posouzení souhlasů se zpracováním osobních údajů.
-    Posouzení smluvní dokumentace (zpracovatelské smlouvy, …).
-    Posouzení účelnosti a přiměřenosti zpracování (nastavení doby zpracování a ukládání osobních údajů, nutnost zpracovávání, …).
-    Kontrola uživatelských přístupů.
-    Kontrola dokumentační základny.
-    Definice hrozeb působících na zpracování.
-    Analýzy rizik.

5.    Návrh bezpečnostních opatření
-    Provedení analýzy rizik, určení akceptovatelné míry rizika.
-    Seznam bezpečnostních opatření.
-    Vytvoření roadmapy a prioritizace implementace bezpečnostních opatření (procesní i technologická rovina).

Těchto 5 základních kroků položí základy pro dosažení souladu s požadavky GDPR, nicméně jde jen o první část celého procesu. Po ní následuje nezbytná část implementační, v níž se musí definovaná bezpečnostní opatření nejen implementovat, ale i popsat (minimálně v rozsahu pracovních postupů) a provozovat.
Implementace požadavků GDPR nebude jednoduchá, povinnost přijmout nutná bezpečnostní opatření však platí pro všechny. V současnosti je přitom nevětším rizikem čas. Evropské nařízení o ochraně osobních údajů platí od dubna 2016 a účinnosti nabude (tzn. jinými slovy - stane se neoddiskutovatelnou povinností) od 25. května tohoto roku.

Zbyněk Malý, ANECT

 
Publikováno: 1. 3. 2018 | Počet zobrazení: 584 článek mě zaujal 31
Zaujal Vás tento článek?
Ano